Компания Apple вчера выпустила обновление OS X Bash Update 1.0 для операционных систем OS X 10.9, 10.8 и 10.7. Этот апдейт исправляет уязвимость Shellshock в командной оболочке Bash, которую обнаружили на прошлой неделе.
Программа Bash установлена по умолчанию во многих операционных системах Unix и Linux. После обнаружения уязвимости её обновляли дважды.
После установки на OS X Mavericks патч обновляет программу Bash с версии 3.2.51 на 3.2.53. В принципе, каждый пользователь может сделать это самостоятельно. Нужно, чтобы на компьютере была установлена операционная система OS X 10.9.5, 10.8.5 или 10.7.5.
Уязвимость Shellshock допускает удалённое исполнение кода на компьютере, где установлен Bash. Это связано с некорректной обработкой переменных окружения и определений функций. Уязвимость связана с тем, что Bash не останавливается после обработки определения функции, а продолжает парсить код и выполнять команды оболочки, которые следуют после символов “() {” в переменной окружения.
Для проверки наличия уязвимости на своём компьютере можно запустить такой код:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"